Können Betroffene ihr Auskunftsrecht aus Art. 15 DSGVO abtreten oder nicht? Mit dieser Frage hatte sich das KG Berlin (Az. 38 O 221/22) zu befassen, dessen Entscheidung im Folgenden dargestellt werden soll.
Der Inhalt im Überblick
Warum wurde die Frage der Abtretbarkeit relevant?
Die Beklagte des Falls ist Anbieter einer App mit einer Niederlassung in Deutschland. Im Jahr 2018 kam es bei diesem durch einen Hacker-Angriff zu einem Datenleck, aufgrund dem persönliche Informationen von Nutzern der App wie z. B. Passwort, Name, Geschlecht, E-Mail-Adresse erbeutet werden konnten. Diese wurden anschließend im Dark-Web zum Kauf angeboten. Die Beklagte informierte die Betroffenen über den Vorfall. Auf dieser Grundlage verlangte die Klägerin von der Beklagten aus abgetretenem Recht einiger namentlich genannter Nutzer der App Schadensersatz nach Art. 82 DSGVO. Der Schaden liege in dem Verlust der Kontrolle der Nutzer über die betroffenen Daten. Darüber hinaus verlangte die hierzu ermächtigte Klägerin auf der Grundlage von Art. 15 Abs. 1 DSGVO Auskunft über die von dem Angriff betroffenen Daten. Nachdem das LG Berlin in der Vorinstanz erfolglos blieb, wies auch das KG die Klagen ab.
Die Leitsätze zur Abtretbarkeit des Rechts aus Art. 15 DSGVO
Folgende Leitsätze stellte das KG Berlin auf:
1. „Der Anspruch auf Auskunft nach Art. 15 DSGVO ist nicht abtretbar. Dritte können nur mit Geltendmachung des Anspruches beauftragt werden (…).
(…)
2. Für den materiellen und immateriellen Schaden in Art. 82 DSGVO gibt es keine Erheblichkeitsschwelle. Gleichwohl (…) bedarf es der Darlegung eines konkreten (.) Schadens, der über den durch die unrechtmäßige Datenverarbeitung ohnehin eingetretenen Kontrollverlust hinausgeht (…).“
Die rechtliche Begründung im Einzelnen
Zur Abtretbarkeit des Auskunftsrechts aus Art. 15 DSGVO
Die Auskunftsklage sei aus formalen Gründen abzuweisen, da die Klägerin die Auskunft als solche begehre. Der Auskunftsanspruch sei zwar nicht abtretbar, jedoch könne ein Dritter zur Geltendmachung ermächtigt werden; schließlich sehe Art. 80 Abs. 1 DSGVO die Vertretung der Betroffenen durch qualifizierte Einrichtungen vor. Die Vertreterstellung müsse auch im Klageantrag zum Ausdruck kommen, so dass die Klägerin nicht, wie beantragt, Auskunft an sich selbst hätte verlangen können.
Zur Substantiierungslast beim Schadensersatzverlangen
Der Schadensersatzanspruch nach Art. 82 DSGVO sei im Gegensatz zum Auskunftsanspruch abtretbar, jedoch habe die Klägerin keine konkreten Nachteile einzelner Nutzer durch den Datenabfluss dargelegt. Zwar könne auch der Verlust der Kontrolle über die eigenen Daten Grundlage eines Schadensersatzanspruchs sein, jedoch müsse substantiiert dargelegt werden, inwieweit dem Betroffenen über den Kontrollverlust hinaus Nachteile entstanden seien.
Fallstricke bei Auskunft und Schadensersatz
Das Urteil ist insbesondere für Geschäftsmodelle der kollektiven Rechtsdurchsetzung relevant, bei denen Betroffene Schadensersatzansprüche abtreten. Insbesondere die unterschiedliche Art und Weise der Geltendmachung von Auskunfts- und Schadensersatzansprüchen stellen Fallstricke bei der Antragsformulierung dar. Die Ausführungen des Gerichts zur Substantiierung des Schadens bewegen sich im Spannungsfeld der Judikatur des EuGHs, wonach es bei immateriellen Schäden nicht auf die Erheblichkeit des Schadens ankommt, die Befürchtung einer missbräuchlichen Datenverwendung aber noch keinen Schaden darstellt.
Auf welches KG Urteil wird sich hier bezogen?
Da fehlt tatsächlich noch das Aktenzeichen. Der Artikel bezieht sich auf das Urteil vom KG Berlin – Az. 38 O 221/22. Wir werden die Information zeitnah im Artikel ergänzen.